Microsoft, Bing 검색 콘텐츠 조작, Office 365 데이터 도난을 허용하는 'BingBang' 취약점 수정
2 분. 읽다
에 게시됨
이 기사 공유
이 가이드를 개선하세요
공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기
나는 해킹했다 빙 검색 결과를 변경하고 수백만 개의 @오피스365 계정.
내가 어떻게 했지? 글쎄, 그것은 모두 간단한 클릭으로 시작되었습니다 @하늘빛…?
이 이야기는 #빙방 ? pic.twitter.com/9pydWvHhJs— 힐라이 벤-사손(@hillai) 2023 년 3 월 29 일
Wiz Research의 보안 전문가는 AAD(Azure Active Directory)에서 잘못 구성된 "Bing Trivia" 앱을 사용하여 Bing.com의 콘텐츠를 조작하고 XSS(Cross-Site Scripting) 공격을 수행할 수 있는 문제를 발견했습니다. 다행히도 "라는 문제가빙뱅,”는 해커가 수백만 명의 Microsoft 365 계정 데이터에 액세스할 수 있도록 허용했을 수 있으며 Microsoft는 Wiz가 발견을 보고한 후 즉시 수정했습니다.
이 문제는 위즈가 지난 31월 2일 마이크로소프트에 공개했고 마이크로소프트가 새로운 빙을 공식적으로 발표하기 며칠 전인 XNUMX월 XNUMX일 마이크로소프트가 해결했다. Wiz의 보고서에 따르면 이 문제는 수년 동안 악용되었을 수 있습니다. 그러나 해커들이 사용한 흔적은 없다고 덧붙였다.
이 토큰을 사용하여 공격자는 다음을 가져올 수 있습니다.
아웃룩 이메일 ??
달력 ?
팀 메시지?
셰어포인트 문서?
원드라이브 파일 ?
그리고 모든 Bing 사용자로부터 더 많은 정보를 얻을 수 있습니다!여기에서 유출된 Bing 토큰을 사용하여 "공격자 컴퓨터"에서 내 개인 받은 편지함을 읽는 것을 볼 수 있습니다. pic.twitter.com/f6aHiXYWvD
— 힐라이 벤-사손(@hillai) 2023 년 3 월 29 일
보고서에서 연구원들은 먼저 잘못 구성된 Microsoft 애플리케이션을 사용하여 특정 Bing.com 검색 결과 콘텐츠를 수정함으로써 이른바 "BingBang" 공격을 수행할 수 있었던 방법을 자세히 설명했습니다. 그룹에 따르면 이 실수는 AAD의 "위험한 구성"에서 비롯된 것입니다.
"이 공유 책임 아키텍처는 개발자에게 항상 명확한 것은 아니며, 그 결과 유효성 검사 및 구성 실수가 상당히 만연합니다." Wiz는 블로그 게시물에서 그룹이 스캔한 다중 테넌트 앱의 약 25%가 빙뱅.
이후 Wiz는 Bing.com에 무해한 XSS 페이로드를 추가하려고 시도했고 성공했습니다. 이 그룹은 이 문제를 해결하지 않고 그대로 두면 전 세계 수백만 명의 사람들에게 영향을 미칠 수 있다고 말했습니다.
"동일한 액세스 권한을 가진 악의적인 행위자는 동일한 페이로드로 가장 인기 있는 검색 결과를 하이재킹하고 수백만 사용자의 민감한 데이터를 유출할 수 있었습니다." 신고 추가했습니다. "SimilarWeb에 따르면 Bing은 월간 페이지뷰가 27억 회 이상인 세계에서 365번째로 가장 많이 방문한 웹사이트입니다. 즉, 수백만 명의 사용자가 악의적인 검색 결과와 Office XNUMX 데이터 도용에 노출되었을 수 있습니다."
한편 마이크로소프트는 자문 문제를 해결하기 위한 조치를 자세히 설명합니다. 소프트웨어 회사에 따르면 "소수의 내부 응용 프로그램에만 영향을 미쳤습니다." 그럼에도 불구하고 잘못된 구성이 즉시 수정되었으며 "향후 잘못된 구성의 위험을 줄이기 위해 추가 변경을 수행했다"고 확신했습니다.
